👍
IAM関連のことを理解したい
TL;DR
研究室で使用している AWS の運用を担当することになり,IAM 関連の知識を自分なりに整理しました。
IAM とは
公式ドキュメントによる情報です。
AWS Identity and Access Management (IAM) は、AWS リソースへのアクセスを安全に管理するためのウェブサービスです。IAM を使用すると、ユーザーがアクセスできる AWS のリソースを制御するアクセス許可を管理できます。IAM を使用して、誰を認証 (サインイン) し、誰にリソースの使用を認可する (アクセス許可を付与する) かを制御します。IAM は、AWS アカウントの認証と認可を制御するために必要なインフラストラクチャを提供します。
簡単にいうと,AWS のサービスやリソースへのアクセスを安全に管理するためのサービスです。「誰が」「何に」「どのような操作を」できるかを制御します。
IAM グループ
- IAM ユーザーをグループ化する仕組み
- 複数の IAM ユーザーに対して同じアクセス許可を付与する場合に便利
- 例: 開発者チーム全員に同じアクセス許可を付与する場合
- グループ単位での権限管理により,ユーザー単位での権限管理よりも管理が楽
IAM ロール
- AWS リソースに対するアクセス権限を一時的に付与するための仕組み
- AWS Security Token Service(STS)というサービスを使用し,一時的な認証情報を生成
- EC2 インスタンスや Lambda 関数などの AWS サービスに割り当てて使用
- 人間のユーザーにではなく,AWS リソースやサービスに対して権限を付与する際に使用
- 一時的な認証情報を自動的に更新するため,セキュリティが向上
主な違い
1. 用途の違い
- グループ:IAM ユーザーを管理するために使用
- ロール:AWS リソースやサービスに対して権限を付与するために使用
2. 認証情報
- グループ:永続的なアクセスキーを使用
- ロール:一時的な認証情報を使用
3. 付与方法
- グループ:IAM ユーザーをグループに追加
- ロール:IAM ロールを作成し,AWS リソースに割り当て
まとめ
- IAM は AWS リソースへのアクセスを安全に管理するためのサービス
- IAM グループは IAM ユーザーをグループ化する仕組み
- IAM ロールは AWS リソースに対するアクセス権限を一時的に付与する仕組み
参考文献
Discussion